Introducció
Google va publicar el divendres una actualització seguretat per a abordar una vulnerabilitat d’alta gravetat en el navegador Chrome que, segons es va indicar, s’està explotant activament.
Anàlisi
Rastrejada com a CVE-2022-1096 , la vulnerabilitat de dia zero es relaciona amb una vulnerabilitat de confusió de tipus en el motor JavaScript V8.
Els errors de confusió de tipus, que sorgeixen quan s’accedeix a un recurs (p. ex., una variable o un objecte) utilitzant un tipus que és incompatible amb el que es va inicialitzar originalment, això podria tindre greus conseqüències en llenguatges que no són segurs per a la memòria com a C i C++, la qual cosa permet un ús maliciós.
“Quan s’accedeix a la memòria intermèdia utilitzant el tipus incorrecte, aquest podria llegir o escriure fora dels límits de la memòria intermèdia. Si la memòria intermèdia assignada és més xicoteta que el tipus al qual intenta accedir el codi, provocaria un bloqueig i possiblement el codi execució”, explica el Common Weakness Enumeration (CWE) de MITRE .
El gegant tecnològic va reconéixer que és “conscient que existeix un explotador per a CVE-2022-1096”, el qual o va arribar a compartir detalls addicionals per a evitar una major explotació i fins que la majoria dels usuaris s’actualitzen amb una solució.
CVE-2022-1096 és la segona vulnerabilitat de dia zero abordada per Google en Chrome des de principis d’any, sent la primera CVE-2022-0609, una vulnerabilitat d’ús posterior en el component que es va apedaçar el 14 de febrer del 2022.
A principis d’aquesta setmana, el Grup d’Anàlisi d’Amenaces (TAG, per les seues sigles en anglés) de Google va revelar detalls d’una campanya bessona organitzada per grups d’estats-nació de Corea del Nord que van usar la vulnerabilitat com a arma per a atacar organitzacions amb seu als EUA que abasten indústries de mitjans de comunicació, TI, criptomonedes i tecnologia financera.
Recomanacions
Es recomana als usuaris de Google Chrome que actualitzen a l’última versió 99.0.4844.84 per a Windows, Mac i Linux per a eliminar qualsevol amenaça potencial.
També es recomana als usuaris de navegadors basats en Chromium, com Microsoft Edge, Opera i Vivaldi, que apliquen les correccions quan estiguen disponibles.
Referències
[1] https://thehackernews.com/2022/03/google-issues-urgent-chrome-update-to.html